Besoin d'un bon nettoyage et souci pare feu

Non,acer 5920.

hello

rapelle-moi c'est un toshiba ?

Salut,

Il y a une autre chose que je ne t'avais pas parlé car avec les années je m'y étais habitué,parfois j'ai mon pc qui sort de vielle tout seul,perso je pensais que c'était pas mechant,que c'était un "dysfonctionnement" du PC avec l'âge ou parce que je laissais une page ouverte quand je le mets en veille mais j'ai lu ici ou là que cela pouvait être dû à un virus ,je pense qu'avec toutes les analyses que tu m'as fait faire tu aurais déja vu si il y avait quelque chose,non?

et ben non c'est bon de ce coté aussi !! :/

Salut,

J'ai coché "uniquement dans le registre c'était ça?

1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 02:21:51 le 01/09/2014
4.
5. Valeur(s) recherchée(s):
6. mpssvc.dll
7.
8. Légende: TC = Date de création, TM = Date de modification, DA = Dernier accès
9.
10. (!) --- Recherche registre seulement
11.
12. ====== Entrée(s) du registre ======
13.
14.
15. [HKLM\Software\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{37945dc2-899b-44d1-b79c-dd4a9e57ff98}]
16. "ResourceFileName"="%SystemRoot%\system32\mpssvc.dll" (REG_EXPAND_SZ)
17.
18. [HKLM\Software\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{37945dc2-899b-44d1-b79c-dd4a9e57ff98}]
19. "MessageFileName"="%SystemRoot%\system32\mpssvc.dll" (REG_EXPAND_SZ)
20.
21. [HKLM\Software\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{37945dc2-899b-44d1-b79c-dd4a9e57ff98}]
22. "ParameterFileName"="%SystemRoot%\system32\mpssvc.dll" (REG_EXPAND_SZ)
23.
24. [HKLM\Software\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{50bd1bfd-936b-4db3-86be-e25b96c25898}]
25. "ResourceFileName"="%SystemRoot%\system32\mpssvc.dll" (REG_EXPAND_SZ)
26.
27. [HKLM\Software\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{50bd1bfd-936b-4db3-86be-e25b96c25898}]
28. "MessageFileName"="%SystemRoot%\system32\mpssvc.dll" (REG_EXPAND_SZ)
29.
30. [HKLM\Software\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{50bd1bfd-936b-4db3-86be-e25b96c25898}]
31. "ParameterFileName"="%SystemRoot%\system32\mpssvc.dll" (REG_EXPAND_SZ)
32.
33. [HKLM\Software\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{5444519f-2484-45a2-991e-953e4b54c8e0}]
34. "ResourceFileName"="%SystemRoot%\system32\mpssvc.dll" (REG_EXPAND_SZ)
35.
36. [HKLM\Software\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{5444519f-2484-45a2-991e-953e4b54c8e0}]
37. "MessageFileName"="%SystemRoot%\system32\mpssvc.dll" (REG_EXPAND_SZ)
38.
39. [HKLM\Software\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{5444519f-2484-45a2-991e-953e4b54c8e0}]
40. "ParameterFileName"="%SystemRoot%\system32\mpssvc.dll" (REG_EXPAND_SZ)
41.
42. [HKLM\Software\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{e595f735-b42a-494b-afcd-b68666945cd3}]
43. "ResourceFileName"="%SystemRoot%\System32\mpssvc.dll" (REG_EXPAND_SZ)
44.
45. [HKLM\Software\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{e595f735-b42a-494b-afcd-b68666945cd3}]
46. "MessageFileName"="%SystemRoot%\System32\mpssvc.dll" (REG_EXPAND_SZ)
47.
48. [HKLM\Software\Microsoft\Windows\CurrentVersion\SideBySide\DerivedData\Components\x86_networking-mpssvc-svc.resources_31bf3856ad364e35_6.0.6000.16386_fr-fr_27b4c519848622d3]
49. "f!mpssvc.dll.mui"="mpssvc.dll.mui" (REG_BINARY)
50.
51. [HKLM\Software\Microsoft\Windows\CurrentVersion\SideBySide\DerivedData\Components\x86_networking-mpssvc-svc.resources_31bf3856ad364e35_6.0.6001.18000_fr-fr_29eb8715817133a7]
52. "f!mpssvc.dll.mui"="mpssvc.dll.mui" (REG_BINARY)
53.
54. [HKLM\Software\Microsoft\Windows\CurrentVersion\SideBySide\DerivedData\Components\x86_networking-mpssvc-svc_31bf3856ad364e35_6.0.6001.18000_none_9a143b78c7dcbd99]
55. "f!mpssvc.dll"="MPSSVC.dll" (REG_BINARY)
56.
57. [HKLM\Software\Microsoft\Windows\CurrentVersion\SideBySide\DerivedData\Components\x86_networking-mpssvc-svc_31bf3856ad364e35_6.0.6002.18005_none_9bffb484c4fe88e5]
58. "f!mpssvc.dll"="MPSSVC.dll" (REG_BINARY)
59.
60. [HKLM\Software\Microsoft\Windows\CurrentVersion\SideBySide\DerivedData\VersionedIndex\6.0.6002.18005_001c11ba\ComponentFamilies\x86_networking-mpssvc-svc_31bf3856ad364e35_none_6f4c24a600a46c19\f256!mpssvc.dll]
61. DA: 17/08/2009 18:14:47
62.
63. [HKLM\Software\Microsoft\Windows\CurrentVersion\SideBySide\DerivedData\VersionedIndex\6.0.6002.18005_001c11ba\ComponentFamilies\x86_networking-mpssvc-svc_31bf3856ad364e35_none_6f4c24a600a46c19\v!6.0.6000.16386\UnstagedFiles]
64. "mpssvc.dll"="" (REG_BINARY)
65.
66. [HKLM\System\ControlSet001\Services\MpsSvc\Parameters]
67. "ServiceDll"="%SystemRoot%\system32\mpssvc.dll" (REG_EXPAND_SZ)
68.
69. [HKLM\System\ControlSet002\Services\MpsSvc\Parameters]
70. "ServiceDll"="%SystemRoot%\system32\mpssvc.dll" (REG_EXPAND_SZ)
71.
72. [HKLM\System\CurrentControlSet\Services\MpsSvc\Parameters]
73. "ServiceDll"="%SystemRoot%\system32\mpssvc.dll" (REG_EXPAND_SZ)
74.
75. =========================
76.
77. Fin à: 02:26:47 le 01/09/2014
78. 299689 Éléments analysés
79.
80. =========================
81. E.O.F

Télécharge http://general-changelog-team.fr/fr/dow ... -xx/6-seaf SEAF.exe de C_XX

*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .

*Une fenêtre va s'ouvrir .

*Tape mpssvc.dll

dans cette fenêtre

confirme la recherche dans le registre et [Entrée].

*Patiente pendant la recherche.

*Une fenêtre avec un log.txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.

Je ne sais pas quoi te dire de + qui pourrait t'aider à y voir plus clair sur mon pc,j'essaie des trucs de mon côté mais sans resultat.

Mais bon ne t'embête pas plus que ça avec mon cas,c'est pas la mort non plus de l'activer manuellement,ça me prend 10 sec à peine.

Je te remercie pour tous g3n-h@ckm@n.

De toute façon vous allez me revoir bientôt car je remet en route un vieux pc(windows xp)pour que mon p'tit puisse mater les dessins animées dessus avec my canal et il a le même souci de "non activation automatique mais avec le reseau",pourtant dans les"services" c'est bien sur automatique aussi,enfin bref je ferais un autre post pour cela.

Donc à bientot et merci encore.

re

pourtant c'est ca que je ne comprends pas , il est bien actif , automatique et fonctionnel

R2 - MpsSvc (Pare-feu Windows) - %SystemRoot%\system32\svchost.exe -k LocalServiceNoNetwork

Toujours pareil pour le pare feu.

Il reste encore un peu de f-secure,d'ailleurs je voulais te demander,où est ce qu'ils ont été deplacés les fichiers f-secure qu'OTM à deplacé,enfin c'est ce qu'il y a d'écrit sur chaque fin de ligne ex : "C:\ProgramData\f-secure\logs\sidegrade folder moved successfully."?

Je me demande finalement si cela à un lien avec f-secure cette histoire de pare feu.

ça se trouve j'avais supprimé quelque chose que je n'aurais pas dû,quoique tu l'aurais surement deja vu sur un rapport si il manquait quelque chose.

Je regarde bien si il manque une mise à jour quelque part au cas où mais rien,peut-être que je ne regarde pas au bon endroit.

Bonne soirée.

bien on a du mieux ?

Bonsoir,

Rhoo ça fait peur cet écran tout blanc pendant 30 sec au redemarage aprés otm

Rapport : http://cjoint.com/?0HBxz3lhgrh ,bizarre il marche pas le lien pourtant, j'ai verifié et c'est bien le bon,je cherche le souci.

Je te le mets en copier/coller parce qu'il doit y avoir un souci avec "ci-joint".

All processes killed
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\Software\F-Secure\ deleted successfully.
Registry key HKEY_USERS\S-1-5-21-1022136274-3605016888-1869575401-1000\Software\F-Secure\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\Uninstall\{AA3CEB7E-E5B1-472E-BA1B-8BF18F1A9FEC}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AA3CEB7E-E5B1-472E-BA1B-8BF18F1A9FEC}\ not found.
========== FILES ==========
C:\Windows\Installer\702f9.msi moved successfully.
C:\Users\vero\AppData\Roaming\F-Secure\System Control folder moved successfully.
C:\Users\vero\AppData\Roaming\F-Secure folder moved successfully.
C:\ProgramData\f-secure\setup folder moved successfully.
Folder move failed. C:\ProgramData\f-secure\Quarantine_2014-08-10_01.11\Repository\TAR scheduled to be moved on reboot.
C:\ProgramData\f-secure\Quarantine_2014-08-10_01.11\Repository\Samples folder moved successfully.
C:\ProgramData\f-secure\Quarantine_2014-08-10_01.11\Repository\Info folder moved successfully.
C:\ProgramData\f-secure\Quarantine_2014-08-10_01.11\Repository\Index folder moved successfully.
Folder move failed. C:\ProgramData\f-secure\Quarantine_2014-08-10_01.11\Repository scheduled to be moved on reboot.
Folder move failed. C:\ProgramData\f-secure\Quarantine_2014-08-10_01.11 scheduled to be moved on reboot.
C:\ProgramData\f-secure\Migration\SavedSettingsPSC9 folder moved successfully.
C:\ProgramData\f-secure\Migration folder moved successfully.
C:\ProgramData\f-secure\logs\SpamControl folder moved successfully.
C:\ProgramData\f-secure\logs\sidegrade folder moved successfully.
C:\ProgramData\f-secure\logs\Setup folder moved successfully.
C:\ProgramData\f-secure\logs\SECL folder moved successfully.
C:\ProgramData\f-secure\logs\ORSP Client folder moved successfully.
C:\ProgramData\f-secure\logs\NRS folder moved successfully.
C:\ProgramData\f-secure\logs\MySA folder moved successfully.
C:\ProgramData\f-secure\logs\hotfix folder moved successfully.
C:\ProgramData\f-secure\logs\HIPS folder moved successfully.
C:\ProgramData\f-secure\logs\Gemini folder moved successfully.
C:\ProgramData\f-secure\logs\Gadget folder moved successfully.
C:\ProgramData\f-secure\logs\fstnb folder moved successfully.
C:\ProgramData\f-secure\logs\FSNID folder moved successfully.
C:\ProgramData\f-secure\logs\FSMA folder moved successfully.
C:\ProgramData\f-secure\logs\FSFW folder moved successfully.
C:\ProgramData\f-secure\logs\FSES folder moved successfully.
C:\ProgramData\f-secure\logs\fscuif folder moved successfully.
C:\ProgramData\f-secure\logs\FSCC folder moved successfully.
C:\ProgramData\f-secure\logs\FSAV\Users folder moved successfully.
C:\ProgramData\f-secure\logs\FSAV folder moved successfully.
C:\ProgramData\f-secure\logs\ExploitShield folder moved successfully.
C:\ProgramData\f-secure\logs\DAAS2 folder moved successfully.
C:\ProgramData\f-secure\logs\daas folder moved successfully.
C:\ProgramData\f-secure\logs\custom folder moved successfully.
C:\ProgramData\f-secure\logs\CUIF folder moved successfully.
C:\ProgramData\f-secure\logs\ComputerSecurity\ULFW folder moved successfully.
C:\ProgramData\f-secure\logs\ComputerSecurity\setup folder moved successfully.
C:\ProgramData\f-secure\logs\ComputerSecurity\FSGUI folder moved successfully.
C:\ProgramData\f-secure\logs\ComputerSecurity\FirewallUtility folder moved successfully.
C:\ProgramData\f-secure\logs\ComputerSecurity folder moved successfully.
C:\ProgramData\f-secure\logs\CCFSettings folder moved successfully.
C:\ProgramData\f-secure\logs\CCFIPC folder moved successfully.
C:\ProgramData\f-secure\logs\CCF folder moved successfully.
C:\ProgramData\f-secure\logs\AUA folder moved successfully.
C:\ProgramData\f-secure\logs folder moved successfully.
C:\ProgramData\f-secure\Daas2\revocation folder moved successfully.
C:\ProgramData\f-secure\Daas2\keys folder moved successfully.
C:\ProgramData\f-secure\Daas2\crl folder moved successfully.
C:\ProgramData\f-secure\Daas2 folder moved successfully.
Folder move failed. C:\ProgramData\f-secure scheduled to be moved on reboot.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
-Temp folder emptied: 0 bytes
-Temporary Internet Files folder emptied: 0 bytes
-Flash cache emptied: 0 bytes

User: Default User
-Temp folder emptied: 0 bytes
-Temporary Internet Files folder emptied: 0 bytes
-Flash cache emptied: 0 bytes

User: postgres
-Temp folder emptied: 0 bytes
-Temporary Internet Files folder emptied: 0 bytes
-Flash cache emptied: 0 bytes

User: Public

User: vero
-Temp folder emptied: 309459 bytes
-Temporary Internet Files folder emptied: 3199891 bytes
-Java cache emptied: 0 bytes
-FireFox cache emptied: 0 bytes
-Google Chrome cache emptied: 239660628 bytes
-Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 532466 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 232,00 mb

OTM by OldTimer - Version 3.1.21.0 log created on 08272014_230217

Files moved on Reboot...
Folder move failed. C:\ProgramData\f-secure\Quarantine_2014-08-10_01.11\Repository\TAR scheduled to be moved on reboot.
Folder move failed. C:\ProgramData\f-secure\Quarantine_2014-08-10_01.11\Repository\TAR scheduled to be moved on reboot.
Folder move failed. C:\ProgramData\f-secure\Quarantine_2014-08-10_01.11\Repository scheduled to be moved on reboot.
Folder move failed. C:\ProgramData\f-secure\Quarantine_2014-08-10_01.11\Repository\TAR scheduled to be moved on reboot.
Folder move failed. C:\ProgramData\f-secure\Quarantine_2014-08-10_01.11\Repository scheduled to be moved on reboot.
Folder move failed. C:\ProgramData\f-secure\Quarantine_2014-08-10_01.11 scheduled to be moved on reboot.
Folder move failed. C:\ProgramData\f-secure\Quarantine_2014-08-10_01.11\Repository\TAR scheduled to be moved on reboot.
Folder move failed. C:\ProgramData\f-secure\Quarantine_2014-08-10_01.11\Repository scheduled to be moved on reboot.
Folder move failed. C:\ProgramData\f-secure\Quarantine_2014-08-10_01.11 scheduled to be moved on reboot.
Folder move failed. C:\ProgramData\f-secure scheduled to be moved on reboot.
C:\Users\vero\AppData\Local\Temp\avgnt.exe\Avira.OE.ExtApi.dll moved successfully.

Registry entries deleted on Reboot...

hello colle ca dans OTM et clique sur MoveIt ensuite

:reg
[-HKLM\Software\F-Secure]
[-HKU\S-1-5-21-1022136274-3605016888-1869575401-1000\Software\F-Secure]
[-HKLM\Software\Microsoft\windows\CurrentVersion\Uninstall\{AA3CEB7E-E5B1-472E-BA1B-8BF18F1A9FEC}]

:files
C:\Windows\Installer\702f9.msi
C:\Users\vero\AppData\Roaming\F-Secure
C:\ProgramData\f-secure

:commands
[emptytemp]

Voilà : http://cjoint.com/?3HAwKb1AH8y

ok refais un QuickDiag en mode "Extended" stp

Salut,

Bien comme d'hab,dans "programmes et fonctionnalités"=desinstaller,ça à dû me demander une confirmation genre " êtes vous sûr de vouloir desinstaller F-secure ou le pack securité et tous ses composants"(je me souviens plus mais c'est surement ça)ensuite je fais un tour dans C:\...et je regarde si il n'y pas une trace du pack securité qui traine ici et là,si je vois quelque chose je supprime,ensuite j'ai probablement du redemarer le pc(peut-être même qu'il me l'avait demandé avant),me connaissant j'ai dû passer un coup de ccleaner et aussi faire "corriger les erreurs" et aussi MBAM en m'aperçevant du probléme.

Mais comme je te dis j'ai eu le souci avant même de le desinstaller.

Edit : Dans le dernier rapport adsfix du 24/08 dans ça :

¤¤¤¤¤¤¤¤¤¤ | C:\Users\vero\AppData\Roaming

à la 29iéme ligne : [21/11/2012 13:47:21] - |D| - C:\Users\vero\AppData\Roaming\F-Secure

Et dans ça : ¤¤¤¤¤¤¤¤¤¤ | C:\ProgramData

à la 22iéme ligne : [15/05/2012 17:40:45] - |D| - C:\ProgramData\f-secure
Celui là j'arrive à le trouver dans le pc mais pour le supprimer c'est autre chose,j'ai d'abord ça qui est normal http://cjoint.com/?0HztprvdIBt et ensuite ça qui surement normal aussi mais je ne me souviens plus comment il faut que je fasse http://cjoint.com/?0HztqxLfEiy , il y aurai ceci qui serait supprimé si j'y arrive lol http://cjoint.com/?0Hztt4evtNT

hello

ah alors on a peut-être une autre piste

comment tu t'y es pris pour desinstaller cet antivirus ?

la gratuite,mais le probleme du pare feu est intervenu quand j'avais encore (il y a un peu moins d'un mois environ) le pack securité de chez sfr (f-secure),un jour il y a eu une notification en bas à droite au dessus de l'icone anti-virus,j'ai pas eu le temps de lire,elle disparu aussi vite qu'elle était apparu,je me suis dit que c'était une mise à jour... et depuis le pare feu n'est plus automatique,cela fesait deja quelques temps que je voulais arreter avec sfr(l'anti-virus)et du coup je l'ai arreté et j'ai pris avira.

Quand je feuilleté les rapports que tu me demandais,je ne sais plus sur lequel mais il m'a semblait voir F-secure écrit quelque part,bizarre puisque je l'ai desinstaller,d'ailleurs ça me fait penser qu'il faut que je me desabonne de l'anti-virus en allant sur mon compte sfr ou en les appellant.(5 euros/mois je crois)

Voilà pour les détails.

ta version d'avira c'est la payante ou la gratuite ?

Bonsoir,

Pour le pare feu oui je l'active toujours en manuel

Mais bon t'embête pas plus je vais essayer de trouver par moi même

Tu as deja beaucoup donné,UN GRAND MERCI à toi.

bonsoir des soucis persistent ?

Voilà chef : http://cjoint.com/?0Hyn15M3SsI

impec , retente avec la derniere version maintenant ( on va y arriver )

http://www.aht.li/2159847/AdsFix.exe

Rapport : http://cjoint.com/?0HyakRQyEGJ

J'espere que c'est le bon?

re

pourtant il semblerait que le parefeu soit fonctionnel , activé (R) , et en mode de démarrage automatique (2)

R2 - MpsSvc (Pare-feu Windows) - %SystemRoot%\system32\svchost.exe -k LocalServiceNoNetwork

Désactive ton antivirus le temps de la manipulation car OTM est détecté comme une infection à tort.

Télécharge https://www.sosvirus.net/telecharger/otm/ OTM (OldTimer) sur ton Bureau :

Double-clique sur OTM.exe afin de le lancer. (clic droit "executer en tant qu'administrateur" pour Vista/7/8 )

Copie (Ctrl+C) le texte suivant ci-dessous :

:reg
[HKU\S-1-5-21-1022136274-3605016888-1869575401-1000\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=DWORD:2
[HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall"=DWORD:0
[HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=DWORD:0
[HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall"=DWORD:0
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\4b72bfb6-5ab6-4685-b5cb-c77b82825677]
[-HKU\S-1-5-21-1022136274-3605016888-1869575401-1000\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{547E8A61-5DAC-4F0C-8211-78FDA265421}]
[-HKU\S-1-5-21-1022136274-3605016888-1869575401-1000\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8B439853-CA1A-4C5B-B2CF-222103D44E0}]
[-HKU\S-1-5-21-1022136274-3605016888-1869575401-1000\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{B515A690-CC9D-434D-A29D-BFA1B28D2C3}]
[-HKU\S-1-5-21-1022136274-3605016888-1869575401-1000\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{BC991E82-BB02-443D-B836-552A14F29BD2}]
[-HKU\S-1-5-21-1022136274-3605016888-1869575401-1000\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{CE11E6C1-7CB5-48AF-A53E-6C98A27EABB6}]
[-HKU\S-1-5-21-1022136274-3605016888-1869575401-1000\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D2C1BB68-4B6C-47FF-B3DC-86E9B986936}]
[-HKU\S-1-5-21-1022136274-3605016888-1869575401-1000\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E5D7073E-601D-433A-9581-BABED2814A45}]
[-HKU\S-1-5-21-1022136274-3605016888-1869575401-1000\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{FEC356F3-6FE9-4C58-AAA5-ABEF2E98652}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F403EAD6-878E-411D-87AC-D4AC2DB3F39D}]
[-HKU\S-1-5-21-1022136274-3605016888-1869575401-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{2318C2B1-4965-11D4-9B18-009027A5CD4F}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7555B87D-D711-48B2-B97D-04DF700652BA}]
[-HKU\S-1-5-21-1022136274-3605016888-1869575401-1000\Software\ForumerIT]
[HKU\S-1-5-21-1022136274-3605016888-1869575401-1000\Software\FVDToolbar]
[-HKU\S-1-5-21-1022136274-3605016888-1869575401-1000\Software\Microsoft\windows\CurrentVersion\Uninstall\7-Zip Packages]

:files
C:\Windows\AF54923662584AC6A0435B5B89C6EB61.TMP
C:\Windows\DeleteOnReboot.bat
C:\Users\postgres\Desktop\AD-R.lnk
C:\Windows\system32\${LOGFILE}

:commands
[emptytemp]

Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

Clique maintenant sur le bouton MoveIt! puis ferme OTM

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\

*Le nom du rapport correspond au moment de sa création : date_heure.log

Salut,

J'ai eu cela au lancement : http://cjoint.com/?0HxlJUUleN0

Je dois peut-être desactiver mon ant-virus avant,non?

Et en insistant j'ai eu ça : http://cjoint.com/?0HxlTLGFf6o

Edit :J'ai desactivé avira,donc le rapport : http://cjoint.com/?0Hxm4eSh0ac

non , on ne garde aucun outil dans le pc ils sont très vite obsolètes ,( mais laisse pour l instant on virera tout à la fin on ne gardera que malwarebytes qui contient une possibilité de mide à jour manuelle) adwcleaner par exemple est mis àjour deux fois par semaine donc dans deux/troi jours la version que tu as là , si ca se trouve que Mathieu l'ait mis à jour , ben elle te servira plus à rien , les infection évoluent trop vite.

fais ceci j'aimerais verifier des infos de services que je n'ai pas dans les autres diags :

Télécharge QuickDiag : http://www.aht.li/2448447/QuickDiag.exe

Enregistre-le sur ton bureau.
Lance-le , clique sur "Extended" et heberge le rapport une fois l'analyse terninée , qui se trouvera sur le bureau du nom de QuickDiag_date_heure.txt , sur http://cjoint.com et donne le lien obtenu

Note : une copie se trouve également dans C:

Ah ok.

Ben rien de moins rien de +

Pour le pare feu,idem.

Au faite je peux(dois) desinstaller OTL,ZHPdiag,ZHPfix et Pre_scan ou je les garde encoe un peu?

Adwcleaner,je le garde lui en complement de ccleaner et MBAM?

c'est des raccourcis que le programme rajoute sur le bureau au cas où l'accès soit bloqué via le menu demarrer à cause d'un ransomware ou autre infection du style )

on a du mieux ?

Voilà : http://cjoint.com/?3Hwn0zOOMWy

Edit :je viens de m'aperçevoir que des icones(aprés scan) sont apparu sur mon bureau

http://cjoint.com/?3Hwofqoo4PS ,bon rien de méchant je suppose j'ai juste à les supprimer, mais ça le secoue le PC ces scan

mmmm du coup tu me mets un doute passe cet outil

Seuls ces liens sont officiels ne pas télécharger l'outil sur d'autres liens !

Note : Pendant le scan le bureau peut disparaître à plusieurs reprises
Désactive toutes tes protections si possible, antivirus, sandbox, pare-feux ... ( Aide )
Télécharge Pre_Scan sur ton bureau !
Si le lien n'est pas fonctionnel :
#ICI (renommé winlogon)

[*]Si l'outil est bloqué par l'infection essaye avec d'autres extensions :

[*]#SCR
[*]#PIF
[*]#COM

[*]Si des Proxy sont détectés et que tu n'en as pas installé :

[*]Clique sur Supprimer le Proxy

[*]A la fin du scan, rends toi à la racine de ton disque dur ( C:\ )
[*]Héberge le rapport Pre_Scan¤¤¤¤¤¤¤¤¤.txt sur http://cjoint.com puis donne le lien

Donc les rapports étaient ok?

Bien si tu pense que mon PC est clean c'est bon pour moi,je dois passer à la finalisation c'est ça?

Si,j'ai toujours ce probléme de pare feu que je dois activer manuellement tous les jours,même en sortie de veille.

bonsoir non mais très pris donc pas dispo 24/24 ^^

tu me fais un topo des soucis restants ?

Bonsoir,

Pas de nouvelles?

On arrête là?

En couper/coller : http://cjoint.com/?0HussgVctaF

http://cjoint.com/?0HussXlgX7Y

ben non , t'as fait clic droit " envoyer vers bureau" ce qui a créé un raccourci , il faut le couper/coller

Rapports : http://cjoint.com/?0Huqkobx0UI

http://cjoint.com/?0HuqlklC350

J'ai encore ça : Folder = C:\Users\vero\Downloads

J'espere que c'est ok ce coup là sinon explique moi ce que je ne fais pas parce que là je pige pas?

Quand je l'ai telechargé il ne s'est pas mis sur mon bureau et il ne m'a pas demandé de cocher quelque chose pour le mettre sur le bureau,je dois aller le chercher dans download pour m'en servir,à part là car j'ai copié l'icone dans download pour le coller sur mon bureau mais bon cela ne change rien on dirait...

Dis moi sinon je le desinstalle est recommence.

re,

Du bureau non car il n'y est pas je vais le copier/coller sur mon bureau et l'executer en tant qu'administrateur et recommencer l'analyse.

le extras il est à coté de l'executable c'est pas le bon que tu m'as donné

tu l'as pas executé du bureau comme demandé : Folder = C:\Users\vero\Downloads

Salut,

Donc pendant le scan il y a eu cela (une capture d'ecran) : http://cjoint.com/?0HumGUgAilT

Et le temps que je fasse la capture le scan est reparti.

Rapports : http://upload.sosvirus.net/www/?a=di=qD0DyLaEQJ

http://upload.sosvirus.net/www/?a=di=LtcMLg4ixS

re

Copie le script ci dessous :

HKCU\Software
HKCU\Software\AppDataLow /s
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /s
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /s
HKLM\Software
HKCU\Software\Microsoft\Command Processor /s
HKLM\Software\Microsoft\Command Processor /s
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /s
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /s
HKLM\Software\Microsoft\Windows\CurrentVersion\RunMRU /s
HKLM\System\CurrentControlSet\Control\Session Manager\AppcertDlls /s
%Homedrive%\*
%Homedrive%\*.
%Homedrive%\Recycler\*.exe /s
%Homedrive%\Recycler\*.scr /s
%Homedrive%\Recycler\*.pif /s
%Homedrive%\Recycler\*.vb* /s
%Homedrive%\$Recycle.bin\*.exe /s
%Homedrive%\$Recycle.bin\*.scr /s
%Homedrive%\$Recycle.bin\*.pif /s
%Homedrive%\$Recycle.bin\*.vb* /s
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%LocalAppData%\*
%LocalAppData%\*.
%Userprofile%\Local Settings\*
%Userprofile%\Local Settings\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
%Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
%Userprofile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
%Userprofile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
%programFiles%\*
%programFiles%\*.
%programfiles%\Google\Desktop\*.
%ProgramFiles%\Common Files\*.
%ProgramFiles(X86)%\Common Files\*.
%Systemroot%\Installer\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\PSS\* /s
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\syswow64\Tasks\*
%systemroot%\syswow64\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys
dir %Homedrive%\* /S /A:L /C
msconfig
activex
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
tdx.sys
netbt.sys
afd.sys
/md5stop
netsvcs
safebootminimal
safebootnetwork
CREATERESTOREPOINT
Télécharge OTL (by OldTimer) sur ton bureau.
Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
Coche/Sélectionne les cases comme l'image ci dessous
Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
Clique sur Analyse
Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

Aide : Comment héberger un fichier sur SOSUpload ?

Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

En cas de problème avec SOSUpload, utiliser Cjoint

FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

Répondre

Revue du sujet : Besoin d'un bon nettoyage et souci pare feu Étendre la vue

Forum d'Entraide Informatique (FEI)

FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique